Planen der Sicherheit in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Hinweis |
---|
Dieses Thema erscheint in den Handbüchern Standortverwaltung für System Center 2012 Configuration Manager und Sicherheit und Datenschutz für System Center 2012 Configuration Manager. |
Verwenden Sie die folgenden Abschnitte bei der Sicherheitsplanung in Microsoft System Center 2012 Configuration Manager.
Planen von Zertifikaten (selbstsigniert und PKI)
Planen der PKI-Zertifikatsperrung
Planen von vertrauenswürdigen PKI-Stammzertifikaten und der Liste der Zertifikataussteller
Planen der PKI-Clientzertifikatauswahl
Planen einer Übergangsstrategie für PKI-Zertifikate und internetbasierte Clientverwaltung
Planen des vertrauenswürdigen Stammschlüssels
Planen von Signierung und Verschlüsselung
Planen der rollenbasierten Verwaltung
Lesen Sie Sicherheit und Datenschutz für die Standortverwaltung in Configuration Manager zusätzlich zu diesen Abschnitten.
Weitere Informationen zur Verwendung von Zertifikaten und kryptografischen Steuerelementen durch Configuration Manager finden Sie unter Technische Referenz für kryptografische Steuerelemente in Configuration Manager.
Planen von Zertifikaten (selbstsigniert und PKI)
Von Configuration Manager wird eine Kombination von selbstsignierten Zertifikaten und PKI-Zertifikaten (Public Key-Infrastruktur) verwendet.
Verwenden Sie als bewährte Sicherheitsmethode nach Möglichkeit PKI-Zertifikate. Weitere Informationen zu den PKI-Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager. Wenn die PKI-Zertifikate von Configuration Manager angefordert werden, beispielsweise bei der Anmeldung mobiler Geräte und bei der AMT-Bereitstellung, müssen Sie Active Directory-Domänendienste verwenden und eine Unternehmenszertifizierungsstelle in Anspruch nehmen. Alle anderen PKI-Zertifikate müssen Sie unabhängig von Configuration Manager bereitstellen und verwalten.
PKI-Zertifikate sind auch dann erforderlich, wenn von Clientcomputern Verbindungen mit internetbasierten Standortsystemen hergestellt werden, sowie dann, wenn von Clientcomputern Verbindungen mit Standortsystemen hergestellt werden, auf welchen Internetinformationsdienste (IIS) ausgeführt werden. Weitere Informationen zur Clientkommunikation finden Sie unter Planen der Clientkommunikation in Configuration Manager.
Wenn Sie eine PKI verwenden, können Sie auch IPsec verwenden, um die Kommunikation zwischen den Servern der Standortsysteme innerhalb eines Standorts sowie zwischen Standorten zu sichern, sowie in jedem anderen Szenario, bei dem Daten zwischen Computern sicher übertragen werden sollen. Sie müssen IPsec unabhängig von Configuration Manager konfigurieren und implementieren.
Von Configuration Manager können automatisch selbstsignierte Zertifikate erstellt werden, wenn keine PKI-Zertifikate verfügbar sind, und einige Zertifikate in Configuration Manager sind immer selbstsigniert. In den meisten Fällen werden die selbstsignierten Zertifikate von Configuration Manager automatisch verwaltet, sodass Sie keine zusätzlichen Aktionen ausführen müssen. Eine mögliche Ausnahme gilt für das Signaturzertifikat des Standortservers. Das Signaturzertifikat des Standortservers ist immer selbstsigniert. Mit seiner Hilfe wird gewährleistet, dass die Clientrichtlinien, die durch die Clients vom Verwaltungspunkt heruntergeladen werden, vom Standortserver gesendet wurden und nicht manipuliert sind.
Planen des Signaturzertifikats des Standortservers (selbstsigniert)
Kopien des Signaturzertifikat des Standortservers können auf sichere Art von den Active Directory-Domänendiensten und einer Clientpushinstallation an die Clients übermittelt werden. Wenn eine solche Kopie nicht mithilfe der genannten Mechanismen an die Clients übermittelt werden kann, installieren Sie aus Sicherheitsgründen eine Kopie des Signaturzertifikats des Standortservers, wenn Sie den Client installieren. Dies ist vor allem wichtig, wenn die erste Kommunikation des Clients mit dem Standort über das Internet erfolgt. Hierbei wird eine Verbindung des Verwaltungspunkts mit einem nicht vertrauenswürdigen Netzwerk hergestellt, und entsprechende Angriffsrisiken werden eröffnet. Wenn Sie diesen zusätzlichen Schritt nicht ausführen, wird von den Clients automatisch eine Kopie des Signaturzertifikats des Standortservers vom Verwaltungspunkt heruntergeladen.
Es kann Szenarien geben, in denen ein sicheres Herunterladen einer Kopie des Signaturzertifikats des Standortservers durch die Clients nicht möglich ist. Dazu gehören folgende Szenarien:
Sie installieren den Client nicht mithilfe von Clientpush, und eine der folgenden Bedingungen ist erfüllt:
Das Active Directory-Schema ist nicht für Configuration Manager erweitert.
Der Clientstandort ist nicht in den Active Directory-Domänendiensten veröffentlicht.
Der Client befindet sich in einer nicht vertrauenswürdigen Gesamtstruktur oder einer Arbeitsgruppe.
Sie installieren den Client, während dieser mit dem Internet verbunden ist.
Wenden Sie das folgende Verfahren an, um Clients gemeinsam mit einer Kopie des Signaturzertifikats des Standortservers zu installieren.
So installieren Sie Clients mit einer Kopie des Signaturzertifikats des Standortservers
-
Suchen Sie das Signaturzertifikat des Standortservers auf dem primären Standortserver des Clients. Das Zertifikat ist im SMS-Zertifikatspeicher unter dem Antragstellernamen Standortserver und dem Anzeigenamen Signaturzertifikat des Standortservers gespeichert.
-
Exportieren Sie das Zertifikat ohne den privaten Schlüssel, speichern Sie es an einem sicheren Ort, und greifen Sie nur über gesicherte Kanäle (beispielsweise mithilfe von SMB-Signaturen oder IPsec) darauf zu.
-
Installieren Sie den Client, indem Sie die Client.msi-Eigenschaft SMSSIGNCERT=<Vollständiger Pfad und Dateiname> mit der Datei CCMSetup.exe verwenden.
Planen der PKI-Zertifikatsperrung
Wenn Sie PKI-Zertifikate mit Configuration Manager verwenden, planen Sie, ob und wie von Clients und Servern zur Überprüfung des Zertifikats des Computers, der die Verbindung herstellt, eine Zertifikatsperrliste verwendet werden soll. Die Zertifikatsperrliste wird von einer Zertifizierungsstelle (Certification Authority, CA) erstellt und signiert. In der Zertifikatsperrliste sind Zertifikate aufgelistet, welche ausgestellt, jedoch gesperrt wurden. Zertifikate können von einem Zertifizierungsstellenadministrator gesperrt werden, wenn beispielsweise vermutet wird, dass ein ausgestelltes Zertifikat gefährdet ist.
Wichtig |
---|
Der Speicherort der Zertifikatsperrliste wird dem Zertifikat bei dessen Ausstellung durch die Zertifizierungsstelle hinzugefügt, daher müssen Sie Ihre Sperrliste planen, bevor Sie PKI-Zertifikate zur Verwendung durch Configuration Manager bereitstellen. |
Die Zertifikatsperrliste wird standardmäßig von IIS stets auf Clientzertifikate hin überprüft. Diese Konfiguration können Sie in Configuration Manager nicht ändern. Die Zertifikatsperrliste wird standardmäßig von Configuration Manager-Clients stets auf Standortsysteme hin überprüft. Sie können diese Einstellung deaktivieren, indem Sie eine Standorteigenschaft angeben, und indem Sie eine CCMSetup-Eigenschaft angeben. Bei einer Out-of-Band-Verwaltung von Intel AMT-basierten Computern können Sie die Überprüfung der Zertifikatsperrlisten auch für den Out-of-Band-Dienstpunkt und für Computer, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, aktivieren.
Wenn die Zertifikatsperrprüfung von Computern verwendet wird, aber keine Zertifikatsperrliste gefunden wird, wird von den Clients reagiert wie bei einer Sperrung aller Zertifikate in der Zertifikatskette, da nicht überprüft werden kann, ob Zertifikate in der Liste fehlen. In diesem Szenario können Verbindungen, für die Zertifikate erforderlich sind und Zertifikatsperrlisten verwendet werden, nicht aufgebaut werden.
Durch das Überprüfen der Zertifikatsperrliste bei jeder Verwendung eines Zertifikats lässt sich der Schutz vor gesperrten Zertifikaten erhöhen. Es kommt jedoch auch zu einer Verbindungsverzögerung und zu zusätzlichen Verarbeitungsvorgängen auf dem Client. Diese zusätzliche Sicherheitsprüfung ist eher dann erforderlich, wenn Verbindungen zwischen Clients und dem Internet oder einem nicht vertrauenswürdigen Netzwerk hergestellt werden.
Wenden Sie sich an Ihre PKI-Administratoren, bevor Sie entscheiden, ob stets eine Überprüfung der Zertifikatsperrlisten durch die Configuration Manager-Clients erfolgen soll, und erwägen Sie dann, diese Option in Configuration Manager aktiviert zu lassen, wenn beide folgenden Bedingungen erfüllt sind:
Von Ihrer PKI-Infrastruktur wird eine Sperrliste unterstützt, und die Sperrliste ist an einem Speicherort veröffentlicht, der für alle Configuration Manager zugänglich ist. Bedenken Sie, dass hierzu auch Clients mit Internetverbindung, wenn Sie eine internetbasierte Clientverwaltung verwenden, sowie Clients in nicht vertrauenswürdigen Gesamtstrukturen gehören können.
Die Anforderung, die Zertifikatsperrliste für jede Verbindung mit einem Standortsystem, das für die Verwendung eines PKI-Zertifikats konfiguriert ist, zu überprüfen, wird schwerer gewichtet als die Anforderung an schnelle Verbindungen und eine effiziente Verarbeitung auf dem Client. Sie wird auch schwerer gewichtet als das Risiko, dass ein Zugriff von Clients auf Server nicht möglich ist, weil die Zertifikatsperrliste nicht verfügbar ist.
Planen von vertrauenswürdigen PKI-Stammzertifikaten und der Liste der Zertifikataussteller
Wenn von Ihren IIS-Standortsystemen PKI-Clientzertifikate zur Clientauthentifizierung über HTTP oder zur Clientauthentifizierung und Verschlüsselung über HTTPS verwendet werden, müssen Sie möglicherweise Stamm-Zertifizierungsstellenzertifikate als Standorteigenschaft importieren. Die folgenden beiden Szenarien sind möglich:
Sie stellen Betriebssysteme mithilfe von Configuration Manager bereit, und von den Verwaltungspunkten werden nur HTTPS-Clientverbindungen akzeptiert.
Sie verwenden PKI-Clientzertifikate, die mit keinem für die Verwaltungspunkte vertrauenswürdigen Stamm-Zertifizierungsstellenzertifikat verkettet sind.
Hinweis Wenn Sie Client-PKI-Zertifikate aus der gleichen Zertifizierungsstellenhierarchie ausstellen, von der auch die Serverzertifikate ausgestellt werden, die Sie für Verwaltungspunkte verwenden, müssen Sie dieses Stamm-Zertifizierungsstellenzertifikat nicht angeben. Wenn Sie jedoch mehrere Zertifizierungsstellenhierarchien verwenden und nicht sicher sind, ob diese voneinander als vertrauenswürdig eingestuft werden, importieren Sie das Stammzertifikat der Zertifizierungsstellenhierarchie des Clients.
Wenn Sie Stamm-Zertifizierungsstellenzertifikate für Configuration Manager importieren müssen, exportieren Sie sie von der ausstellenden Zertifizierungsstelle oder vom Clientcomputer. Wenn Sie das Zertifikat von der ausstellenden Zertifizierungsstelle exportieren, die auch die Stammzertifizierungsstelle ist, dann achten Sie darauf, dass der private Schlüssel nicht exportiert wird. Speichern Sie die exportierte Zertifikatsdatei an einem sicheren Ort, um Manipulationen zu verhindern. Beim Konfigurieren des Standorts benötigen Sie Zugriff auf diese Datei. Wenn Sie über das Netzwerk auf die Datei zugreifen, vergewissern Sie sich, dass die Kommunikation durch SMB-Signaturen oder IPsec vor Manipulationen geschützt ist.
Wenn eines der importierten Stamm-Zertifizierungsstellenzertifikate erneuert wird, müssen Sie das erneuerte Zertifikat importieren.
Aus diesen importierten Stamm-Zertifizierungsstellenzertifikaten sowie aus den Stamm-Zertifizierungsstellenzertifikaten jedes Verwaltungspunkts wird die Liste der Zertifikataussteller erstellt, die von Configuration Manager-Computern auf folgende Arten verwendet wird:
Wenn von Clients Verbindungen zu Verwaltungspunkten hergestellt werden, wird durch die Verwaltungspunkte überprüft, ob das Clientzertifikat mit einem vertrauenswürdigen Stammzertifikat auf der Standortliste der Zertifikataussteller verkettet ist. Wenn dies nicht der Fall ist, wird das Zertifikat abgelehnt, und die PKI-Verbindung kann nicht hergestellt werden.
Ist für die Clients eine Liste der Zertifikataussteller verfügbar, wird ein Zertifikat ausgewählt, das mit einem vertrauenswürdigen Stammzertifikat auf dieser Liste verkettet ist. Wenn keine Übereinstimmung vorhanden ist, wird von den Clients kein PKI-Zertifikat ausgewählt. Weitere Informationen zum Clientzertifikatvorgang finden Sie im Abschnitt Planen der PKI-Clientzertifikatauswahl in diesem Thema.
Unabhängig von der Standortkonfiguration kann der Import eines Stamm-Zertifizierungsstellenzertifikats auch bei der Anmeldung von mobilen Geräten oder Macintosh-Computern und bei der Bereitstellung von Intel AMT-basierten Computern für Funknetzwerke erforderlich sein.
Planen der PKI-Clientzertifikatauswahl
Wenn von Ihren IIS-Standortsystemen PKI-Clientzertifikate zur Clientauthentifizierung über HTTP oder zur Clientauthentifizierung und Verschlüsselung über HTTPS verwendet werden sollen, planen Sie, auf welche Art das Zertifikat zur Verwendung in Configuration Manager von den Windows-basierten Clients ausgewählt werden soll.
Hinweis |
---|
Nicht auf allen Geräte wird eine Zertifikatauswahlmethode unterstützt. Stattdessen wird das erste Zertifikat ausgewählt, das die Zertifikatanforderungen erfüllt. Beispiel: Von Clients auf Macintosh-Computern und mobilen Geräten wird keine Zertifikatauswahlmethode unterstützt. |
In vielen Fällen sind Standardkonfiguration und Standardverhalten ausreichend. Vom Configuration Manager-Client auf Windows-basierten Computern werden mehrere Zertifikate anhand der folgenden Kriterien gefiltert:
Liste der Zertifikataussteller: Das Zertifikat ist mit einem Stamm-Zertifizierungsstellenzertifikat verkettet, das vom Verwaltungspunkt als vertrauenswürdig eingestuft wird.
Das Zertifikat befindet sich im Standardzertifikatspeicher Persönlich.
Das Zertifikat ist gültig. Es ist nicht gesperrt und nicht abgelaufen. Bei der Gültigkeitsprüfung wird sichergestellt, dass der private Schlüssel zugänglich ist und dass das Zertifikat nicht unter Verwendung einer Zertifikatvorlage der Version 3 erstellt wird, da diese mit Configuration Manager nicht kompatibel ist.
Zum Zertifikat gehört eine Clientauthentifizierungsfunktion, oder das Zertifikat wurde auf den Computernamen ausgestellt.
Das Zertifikat weist die längste Gültigkeitsdauer auf.
Clients können mithilfe der folgenden Mechanismen für die Verwendung der Liste der Zertifikataussteller konfiguriert werden:
Die Liste wird als Configuration Manager-Standortinformation in den Active Directory-Domänendiensten veröffentlicht.
Clients werden mithilfe von Clientpush installiert.
Die Liste wird durch Clients, die ihrem Standort erfolgreich zugewiesen wurden, vom Verwaltungspunkt heruntergeladen.
Die Liste wird während der Clientinstallation als CCMSetup client.msi-Eigenschaft von CCMCERTISSUERS angegeben.
Von Clients, deren Erstinstallation ohne die Liste der Zertifikataussteller erfolgt und die dem Standort noch nicht zugewiesen sind, wird dieser Schritt übersprungen. Wenn die Liste der Zertifikataussteller für die Clients verfügbar ist, jedoch kein PKI-Zertifikat, das mit einem vertrauenswürdigen Stammzertifikat auf diese Liste verkettet ist, ist keine Zertifikatauswahl möglich. In diesem Fall wird von den Clients nicht mit den anderen Zertifikatauswahlkriterien fortgefahren.
In den meisten Fällen wird vom Configuration Manager-Client ein eindeutiges und angemessenes PKI-Zertifikat korrekt zur Verwendung identifiziert. Wenn dies nicht der Fall ist, können Sie die folgenden beiden alternativen Auswahlmethoden konfigurieren, anstatt das Zertifikat anhand der Clientauthentifizierungsfunktion auszuwählen:
Suche nach teilweise übereinstimmenden Zeichenfolgen im Antragstellernamen des Clientzertifikats. Dies ist ein Abgleich ohne Beachtung der Groß- und Kleinschreibung, der nützlich sein kann, wenn Sie den vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) eines Computers im Feld für den Antragstellernamen verwenden und eine Zertifikatauswahl auf Basis des Domänensuffixes wünschen, beispielsweise contoso.com. Sie können diese Auswahlmethode jedoch auch verwenden, um nach einer beliebigen Zeichenfolge im Antragstellernamen des Zertifikats zu suchen, mit der Sie das gewünschte Zertifikat von den anderen Zertifikaten im Clientzertifikatspeicher unterscheiden können.
Hinweis Sie können die teilweise übereinstimmenden Zeichenfolgen nicht mit dem alternativen Antragstellernamen (Subject Alternative Name, SAN) als Standorteinstellung verwenden. Sie können zwar mithilfe von CCMSetup eine teilweise übereinstimmende Zeichenfolge für den SAN angeben, doch diese wird in den folgenden Szenarien von den Standorteigenschaften überschrieben:
Von Clients werden Standortinformationen abgerufen, welche in den Active Directory-Domänendiensten veröffentlicht sind.
Clients werden mithilfe einer Clientpushinstallation installiert.
Verwenden Sie teilweise Übereinstimmungen beim SAN nur dann, wenn Sie Clients manuell installieren und von den Clients keine Standortinformationen aus den Active Directory-Domänendiensten abgerufen werden. Beispielsweise gelten diese Bedingungen für Clients, die mit der Einstellung „Nur Internetverbindungen zulassen“ konfiguriert sind.
Eine Suche nach Übereinstimmungen bei den Attributwerten für „Antragstellername“ oder „Alternativer Antragstellername“ im Clientzertifikat. Bei dieser Suche wird die Groß-/Kleinschreibung beachtet. Sie bietet sich an, wenn Sie einen X500 DN (Distinguished Name) oder entsprechende OID (Objektkennung) gemäß RFC 3280 verwenden und die Zertifikatauswahl auf den Attributwerten basieren soll. Sie können nur die Attribute und deren Werte angeben, die zur eindeutigen Identifizierung oder Überprüfung der Gültigkeit des Zertifikats erforderlich sind und das Zertifikat von den anderen Zertifikaten im Zertifikatspeicher unterscheiden.
In der folgenden Tabelle sind die Attributwerte aufgeführt, die von Configuration Manager bei den Auswahlkriterien für Clientzertifikate unterstützt werden.
OID-Attribut |
DN-Attribut (Distinguished Name) |
Attributdefinition |
---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
Domänenkomponente |
1.2.840.113549.1.9.1 |
E oder E-mail |
E-Mail-Adresse |
2.5.4.3 |
CN |
Allgemeiner Name |
2.5.4.4 |
SN |
Antragstellername |
2.5.4.5 |
SERIALNUMBER |
Seriennummer |
2.5.4.6 |
C |
Ländercode |
2.5.4.7 |
L |
Ort |
2.5.4.8 |
S oder ST |
Name des Bundeslands bzw. des Kantons |
2.5.4.9 |
STREET |
Straße |
2.5.4.10 |
O |
Organisationsname |
2.5.4.11 |
OU |
Organisationseinheit |
2.5.4.12 |
T oder Title |
Titel |
2.5.4.42 |
G oder GN oder GivenName |
Vorname |
2.5.4.43 |
I oder Initials |
Initialen |
2.5.29.17 |
(kein Wert) |
Alternativer Antragstellername |
Falls nach der Anwendung der Auswahlkriterien mehrere geeignete Zertifikate gefunden werden, können Sie die Standardkonfiguration außer Kraft setzen, laut der das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt wird, und stattdessen festlegen, dass kein Zertifikat ausgewählt werden soll. In diesem Fall kann die Kommunikation des Clients mit IIS-Standortsystemen nicht über ein PKI-Zertifikat erfolgen. Vom Client wird eine Fehlermeldung an den ihm zugewiesenen Fallbackstatuspunkt gesendet, um Sie über den Fehler bei der Zertifikatauswahl zu informieren und Ihnen die Gelegenheit zu geben, die Zertifikatauswahlkriterien zu ändern oder zu optimieren. Das Verhalten des Clients richtet sich dann danach, ob die fehlerhafte Verbindung über HTTPS oder HTTP hergestellt wurde:
Falls die fehlerhafte Verbindung über HTTPS erfolgte, wird vom Client versucht, eine Verbindung über HTTP herzustellen. Dabei wird das selbstsignierte Zertifikat verwendet.
Falls die fehlerhafte Verbindung über HTTP erfolgte, wird vom Client versucht, eine weitere Verbindung über HTTP herzustellen. Dabei wird das selbstsignierte Clientzertifikat verwendet.
Sie können die Identifizierung eines eindeutigen PKI-Clientzertifikats dadurch erleichtern, dass Sie für denComputerspeicher anstelle der Standardeinstellung Persönlich einen benutzerdefinierten Speicher angeben. Sie müssen diesen Speicher jedoch unabhängig von Configuration Manager erstellen und in der Lage sein, Zertifikate für diesen benutzerdefinierten Speicher bereitzustellen und zu erneuern, bevor deren Gültigkeit abläuft.
Weitere Informationen zum Konfigurieren der Einstellungen für Clientzertifikate finden Sie im AbschnittKonfigurieren von Einstellungen für Client-PKI-Zertifikate im ThemaKonfigurieren der Sicherheit für Configuration Manager.
Planen einer Übergangsstrategie für PKI-Zertifikate und internetbasierte Clientverwaltung
Mithilfe der flexiblen Konfigurationsoptionen in Configuration Manager können Sie Clients und den Standort allmählich auf PKI-Zertifikate umstellen und so für sichere Clientendpunkte sorgen. PKI-Zertifikate bieten nicht nur eine größere Sicherheit, sondern ermöglichen auch die Verwaltung von Clients im Internet.
Dank der zahlreichen Konfigurationsoptionen und -möglichkeiten in Configuration Manager gibt es mehrere Methoden, sämtliche Clients eines Standorts auf HTTPS-Verbindungen umzustellen. Unabhängig von der ausgewählten Methode können Sie die folgenden Schritte als Richtlinie verwenden:
Installieren Sie den Configuration Manager-Standort, und konfigurieren Sie ihn so, dass von den Standortsystemen Clientverbindungen über HTTPS und HTTP akzeptiert werden.
Wählen Sie in den Standorteigenschaften auf der Registerkarte Kommunikation mit Clientcomputern unter Einstellungen des Standortsystems die Option HTTP oder HTTPS aus, und aktivieren Sie das Kontrollkästchen PKI-Clientzertifikat (Clientauthentifizierungsfunktion) verwenden, sofern dieses verfügbar ist. Konfigurieren Sie auf dieser Registerkarte alle anderen erforderlichen Einstellungen. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Einstellungen für Client-PKI-Zertifikate des Themas Konfigurieren der Sicherheit für Configuration Manager.
Führen Sie PKI im Rahmen eines Pilotversuchs für Clientzertifikate ein. Eine Beispielbereitstellung hierfür finden Sie im Abschnitt Bereitstellen des Clientzertifikats für Windows-Computer im Thema Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.
Installieren Sie Clients mithilfe der Clientpushinstallation. Weitere Informationen finden Sie im Abschnitt Installieren von Configuration Manager-Clients mittels Clientpush des Themas Installieren von Clients auf Windows-Computern in Configuration Manager.
Überwachen Sie Clientbereitstellung und -status mithilfe der Berichte und Informationen in der Configuration Manager-Konsole.
Verfolgen Sie über die Spalte Clientzertifikat im Arbeitsbereich Bestand und Kompatibilität im Knoten Geräte, von wie vielen Clients ein Client-PKI-Zertifikat verwendet wird.
Sie können Computern auch das Configuration Manager-Tool zur Überprüfung der HTTPS-Bereitschaft (cmHttpsReadiness.exe) bereitstellen und mithilfe der Berichte feststellen, von wie vielen Computern ein Client-PKI-Zertifikat mit Configuration Manager verwendet werden kann.
Hinweis Bei der Installation des Configuration Manager-Clients auf Clientcomputern wird das Tool cmHttpsReadiness.exe im Ordner %windir%\CCM installiert. Bei der Ausführung dieses Tools auf Clients können Sie die folgenden Optionen angeben:
/Store:<Name>
/Issuers:<Liste>
/Criteria:<Kriterien>
/SelectFirstCert
Diese Optionen entsprechen den Eigenschaften CCMCERTSTORE, CCMCERTISSUERS, CCMCERTSEL bzw. CCMFIRSTCERT in Client.msi. Weitere Informationen zu diesen Optionen finden Sie unter Informationen zu Clientinstallationseigenschaften in Configuration Manager.
Wenn Sie sicher sind, dass von genügend Clients das eigene Client-PKI-Zertifikat erfolgreich für die Authentifizierung über HTTP verwendet wird, gehen Sie wie folgt vor:
Stellen Sie ein PKI-Webserverzertifikat auf einem Mitgliedsserver bereit, von dem ein zusätzlicher Verwaltungspunkt für den Standort ausgeführt wird. Konfigurieren Sie dieses Zertifikat in den IIS. Weitere Informationen finden Sie im Abschnitt Bereitstellen des Webserverzertifikats für Standortsysteme, von denen IIS ausgeführt werden des Themas Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle.
Installieren Sie die Verwaltungspunktrolle auf diesem Server, und konfigurieren Sie in den Verwaltungspunkteigenschaften unter HTTPS die Option Clientverbindungen.
Überwachen und überprüfen Sie, ob der neue Verwaltungspunkt von Clients mit einem PKI-Zertifikat mithilfe von HTTPS verwendet wird. Verwenden Sie hierzu die IIS-Protokollierung oder Leistungsindikatoren.
Konfigurieren Sie andere Standortsystemrollen so neu, dass von ihnen HTTPS-Client-Verbindungen verwendet werden. Falls Sie Clients im Internet verwalten möchten, achten Sie darauf, dass Standortsysteme über einen Internet-FQDN verfügen. Konfigurieren Sie einzelne Verwaltungspunkte und Verteilungspunkte so, dass von ihnen Clientverbindungen aus dem Internet akzeptiert werden.
Wichtig Prüfen Sie die Planungsinformationen und Voraussetzungen für die internetbasierte Clientverwaltung, bevor Sie die Standortsystemrollen so konfigurieren, dass von ihnen Verbindungen aus dem Internet akzeptiert werden. Weitere Informationen finden Sie im Abschnitt Planen der internetbasierten Clientverwaltung des Themas Planen der Kommunikation in Configuration Manager.
Dehnen Sie die Einführung von PKI-Zertifikaten für Clients und Standortsysteme mit IIS aus, und konfigurieren Sie gegebenenfalls die Standortsystemrollen für HTTPS-Clientverbindungen und Internet-Verbindungen.
Zur Gewährleistung eines Höchstmaßes an Sicherheit legen Sie in den Standorteigenschaften die ausschließliche Verwendung von HTTPS fest, wenn Sie sicher sind, dass von allen Clients für die Authentifizierung und Verschlüsselung ein Client-PKI-Zertifikat verwendet wird.
Wenn Sie PKI-Zertifikate anhand dieses Plans nach und nach einführen – zunächst nur Authentifizierung über HTTP, dann Authentifizierung und Verschlüsselung über HTTPS –, verringern Sie das Risiko, dass Clients nicht mehr verwaltet werden. Darüber hinaus profitieren Sie von der höchsten Sicherheit, die von Configuration Manager unterstützt wird.
Planen des vertrauenswürdigen Stammschlüssels
Mit dem vertrauenswürdigen Stammschlüssel von Configuration Manager kann von Configuration Manager-Clients überprüft werden, ob Standortsysteme ihrer Hierarchie angehören. Von jedem Standortserver wird ein Standortaustauschschlüssel für die Kommunikation mit anderen Standorten generiert. Der Standortaustauschschlüssel des Standorts auf der obersten Ebene einer Hierarchie wird als vertrauenswürdiger Stammschlüssel bezeichnet.
Die Funktion des vertrauenswürdigen Stammschlüssels in Configuration Manager ähnelt der eines Stammzertifikats in einer Public Key-Infrastruktur, in der alle vom privaten Schlüssel des vertrauenswürdigen Stammschlüssels signierten Elemente weiter unten in der Hierarchie als vertrauenswürdig angesehen werden. Wenn beispielsweise das Verwaltungspunktzertifikat mit dem privaten Schlüssel des vertrauenswürdigen Stammschlüsselpaars signiert und eine Kopie des öffentlichen Schlüssels des vertrauenswürdigen Stammschlüsselpaars den Clients zur Verfügung gestellt wird, können Verwaltungspunkte, die sich innerhalb oder außerhalb ihrer Hierarchie befinden, leichter von Clients unterschieden werden. Von Clients wird WMI zum Speichern einer Kopie des vertrauenswürdigen Stammschlüssels im Namespace root\ccm\locationservices verwendet.
Die öffentliche Kopie des vertrauenswürdigen Stammschlüssels kann von Clients anhand zweier Methoden automatisch abgerufen werden:
Das Active Directory-Schema wird für Configuration Manager erweitert, der Standort wird auf den Active Directory-Domänendiensten veröffentlicht, und diese Standortinformationen können von Clients aus einem globalen Katalogserver abgerufen werden.
Clients werden mithilfe von Clientpush installiert.
Falls der vertrauenswürdige Stammschlüssel nicht anhand einer dieser Methoden von Clients abgerufen werden kann, wird der vertrauenswürdige Stammschlüssel des ersten Verwaltungspunkts, mit dem eine Kommunikation hergestellt werden kann, von den Clients als vertrauenswürdig eingestuft. In diesem Fall könnte ein Client an den Verwaltungspunkt eines Angreifers fehlgeleitet werden und Richtlinien von diesem nicht autorisierten Verwaltungspunkt erhalten. Ein solcher Angriff trägt die Handschrift eines technisch versierten Angreifers und tritt möglicherweise nur kurze Zeit auf, bevor der Client den vertrauenswürdigen Stammschlüssel eines gültigen Verwaltungspunkts erhält. Sie können für Clients bereits vorab einen vertrauenswürdigen Stammschlüssel bereitstellen, um das Risiko zu reduzieren, dass Clients von einem Angreifer an einen nicht autorisierten Verwaltungspunkt fehlgeleitet werden.
Anhand der folgenden Methoden können Sie einem Configuration Manager-Client den vertrauenswürdigen Stammschlüssel vorab bereitstellen und diesen Schlüssel prüfen:
Vorabbereitstellung des vertrauenswürdigen Stammschlüssels an einen Client mithilfe einer Datei
Vorabbereitstellung des vertrauenswürdigen Stammschlüssels an einen Client ohne eine Datei
Überprüfung des vertrauenswürdigen Stammschlüssels auf einem Client
Hinweis |
---|
Es ist nicht notwendig, einem Client den vertrauenswürdigen Stammschlüssel vorab bereitzustellen, wenn er diesen Schlüssel von den Active Directory-Domänendiensten abrufen kann oder wenn er durch Clientpush installiert wird. Die Vorabbereitstellung ist zudem nicht notwendig, wenn die Kommunikation der Clients mit Verwaltungspunkten über HTTPS erfolgt, da die Vertrauenswürdigkeit über die PKI-Zertifikate bestätigt wird. |
Sie können den vertrauenswürdigen Hauptschlüssel aus einem Client entfernen, indem Sie die Client.msi-Eigenschaft RESETKEYINFORMATION = TRUE mit CCMSetup.exe verwenden. Installieren Sie den Client zusammen mit dem neuen vertrauenswürdigen Hauptschlüssel neu, um den vertrauenswürdigen Hauptschlüssel zu ersetzen. Verwenden Sie hierzu Clientpush, oder legen Sie die Client.msi-Eigenschaft SMSPublicRootKey mit CCMSetup.exe fest.
So stellen Sie einem Client den vertrauenswürdigen Stammschlüssel mithilfe einer Datei vorab bereit
-
Öffnen Sie in einem Text-Editor die Datei <Configuration Manager-Verzeichnis>\bin\mobileclient.tcf.
-
Suchen Sie den Eintrag SMSPublicRootKey=, kopieren Sie den in dieser Zeile stehenden Schlüssel, und schließen Sie die Datei, ohne Änderungen zu speichern.
-
Erstellen Sie eine neue Textdatei, und fügen Sie den in der Datei mobileclient.tcf kopierten Schlüssel ein.
-
Speichern Sie die Datei an einem Speicherort, auf den alle Computer Zugriff haben, an dem die Datei aber vor Manipulationen geschützt ist.
-
Installieren Sie den Client mit einer beliebigen Methode, von der Client.msi-Eigenschaften akzeptiert werden. Legen Sie die Client.msi-Eigenschaft SMSROOTKEYPATH=<Vollständiger Pfad und Dateiname> fest.
Wichtig Wenn Sie den vertrauenswürdigen Stammschlüssel bei der Clientinstallation als zusätzliche Sicherheitsmaßnahme angeben, müssen Sie auch den Standortcode angeben, indem Sie die Client.msi-Eigenschaft SMSSITECODE=<Standortcode> verwenden.
So stellen Sie einem Client den vertrauenswürdigen Stammschlüssel ohne eine Datei vorab bereit
-
Öffnen Sie in einem Text-Editor die Datei <Configuration Manager-Verzeichnis>\bin\mobileclient.tcf.
-
Suchen Sie den Eintrag SMSPublicRootKey=, notieren Sie sich den in dieser Zeile stehenden Schlüssel bzw. kopieren Sie ihn in die Zwischenablage, und schließen Sie die Datei, ohne Änderungen zu speichern.
-
Installieren Sie den Client mit einer beliebigen Methode, von der Client.msi-Eigenschaften akzeptiert werden. Legen Sie die Client.msi-Eigenschaft SMSPublicRootKey=<Schlüssel> fest, wobei <Schlüssel> die Zeichenfolge ist, die Sie in „mobileclient.tcf“ kopiert haben.
Wichtig Wenn Sie den vertrauenswürdigen Stammschlüssel bei der Clientinstallation als zusätzliche Sicherheitsmaßnahme angeben, müssen Sie auch den Standortcode angeben, indem Sie die Client.msi-Eigenschaft SMSSITECODE=<Standortcode> verwenden.
So überprüfen Sie den vertrauenswürdigen Stammschlüssel auf einem Client
-
Klicken Sie im Menü Start auf Ausführen, und geben Sie dann Wbemtest ein.
-
Klicken Sie im Dialogfeld Testprogramm für Windows-Verwaltungsinstrumentation auf Verbinden.
-
Geben Sie im Dialogfeld Verbinden in das Feld Namespace die Zeichenfolge root\ccm\locationservices ein, und klicken Sie dann auf Verbinden.
-
Klicken Sie im Dialogfeld Testprogramm für Windows-Verwaltungsinstrumentation unter IWbemServices auf Klassen aufzählen.
-
Wählen Sie im Dialogfeld Informationen zur übergeordneten Klasse die Option Rekursiv für alle Klassen aus, und klicken Sie dann auf OK.
-
Führen Sie im Fenster Abfrageergebnis einen Bildlauf an das Ende der Liste aus, und doppelklicken Sie auf TrustedRootKey ().
-
Klicken Sie im Dialogfeld Objekt-Editor für TrustedRootKey auf Instanzen.
-
Doppelklicken Sie im neuen Fenster Abfrageergebnis, in dem die Instanzen von TrustedRootKey aufgeführt werden, auf TrustedRootKey=@
-
Führen Sie im Dialogfeld Objekt-Editor für TrustedRootKey=@ im Bereich Eigenschaften einen Bildlauf aus zu TrustedRootKey CIM_STRING. Die Zeichenfolge in der rechten Spalte ist der vertrauenswürdige Stammschlüssel. Überprüfen Sie, ob sie mit dem Wert SMSPublicRootKey in der Datei <Configuration Manager-Verzeichnis>\bin\mobileclient.tcf übereinstimmt.
Planen von Signierung und Verschlüsselung
Wenn für die gesamte Clientkommunikation PKI-Zertifikate verwendet werden, ist es nicht notwendig, zum Schutz der übermittelten Daten deren Signierung und Verschlüsselung zu planen. Wenn Sie aber festgelegt haben, dass bei Standortsystemen, von denen IIS ausgeführt werden, HTTP-Clientverbindungen zulässig sind, müssen Sie zum Schutz der Clientkommunikation an diesem Standort entsprechende Maßnahmen ergreifen.
Beispielsweise können Sie verlangen, dass die Daten, die von Clients an Verwaltungspunkte gesendet werden, signiert sein müssen. Zusätzlich können Sie verlangen, dass Daten von Clients, von denen HTTP verwendet wird, mit dem SHA-256-Algorithmus signiert werden müssen. Diese Einstellung bietet zwar ein höheres Maß an Sicherheit, aber Sie sollten sie dennoch nur aktivieren, wenn SHA-256 von allen Clients unterstützt wird. Viele Betriebssysteme bieten zwar eine systemeigene Unterstützung für SHA-256, aber für ältere Betriebssysteme ist möglicherweise ein Update oder Hotfix erforderlich. Beispielsweise muss auf Computern mit Windows Server 2003 SP2 das im KB-Artikel 938397 genannte Hotfix installiert werden.
Durch die Signierung werden Daten vor Manipulationen geschützt. Durch die Verschlüsselung hingegen wird die Veröffentlichung von Informationen verhindert. Sie können für die Inventurdaten und Zustandsmeldungen, die von Clients an Verwaltungspunkte des Standorts gesendet werden, die 3DES-Verschlüsselung aktivieren. Die Verwendung dieser Option setzt nicht voraus, dass Sie auf den Clients Updates installieren. Sie sollten aber die zusätzliche CPU-Auslastung erwägen, die mit der Verschlüsselung und Entschlüsselung auf Clients und am Verwaltungspunkt einhergeht.
Weitere Informationen zum Konfigurieren der Einstellungen für die Signierung und Verschlüsselung finden Sie im AbschnittKonfigurieren von Signierung und Verschlüsselung im ThemaKonfigurieren der Sicherheit für Configuration Manager.
Planen der rollenbasierten Verwaltung
Bei der rollenbasierten Verwaltung können Sie die administrative Sicherheit der System Center 2012 Configuration Manager-Hierarchie anhand folgender Hilfsmittel entwerfen und implementieren:
Sicherheitsrollen
Sammlungen
Sicherheitsbereiche
Von diesen Einstellungen wird ein Verwaltungsbereich für einen Administrator definiert. Mit diesem Verwaltungsbereich werden die Objekte, die ein Administrator in der Configuration Manager-Konsole anzeigen kann, sowie die Berechtigungen dieses Benutzers in Bezug auf diese Objekte verwaltet. Konfigurationen der rollenbasierten Administration werden als globale Daten an allen Standorten in der Hierarchie repliziert und auf alle Verwaltungsverbindungen angewendet.
Wichtig |
---|
Aufgrund von Verzögerungen bei der standortübergreifenden Replikation können Änderungen an der rollenbasierten Verwaltung möglicherweise nicht von einem Standort empfangen werden. Weitere Informationen über die Überwachung der standortübergreifenden Datenbankreplikation finden Sie im Abschnitt Überwachen der Datenbankreplikationslinks und Replikationsstatus des Themas Überwachen von Configuration Manager-Standorten und -Hierarchien. |
Planen von Sicherheitsrollen
Verwenden Sie Sicherheitsrollen, um Administratoren Sicherheitsberechtigungen zu erteilen. Bei Sicherheitsrollen handelt es sich um Gruppen von Sicherheitsberechtigungen, die Sie Administratoren zuweisen, damit diese ihre Verwaltungsaufgaben erfüllen können. Aus diesen Sicherheitsberechtigungen geht hervor, welche Verwaltungsaufgaben ein Administrator ausführen darf und welche Berechtigungen ihm für bestimmte Objekttypen gewährt werden. Aus Sicherheitsgründen wird empfohlen, die Sicherheitsrollen zuzuweisen, mit denen die wenigsten Berechtigungen erteilt werden.
In System Center 2012 Configuration Manager gibt es mehrere integrierte Sicherheitsrollen zur Unterstützung typischer Gruppen von Verwaltungsaufgaben. Sie können auch benutzerdefinierte Sicherheitsrollen erstellen, die im Einklang mit Ihren Geschäftsanforderungen stehen. Beispiele für die integrierten Sicherheitsrollen:
Hauptadministrator: Mit dieser Sicherheitsrolle werden alle Berechtigungen in Configuration Manager gewährt.
Asset-Manager: Mit dieser Sicherheitsrolle können Administratoren Daten anzeigen, die mithilfe von Asset Intelligence, Softwareinventur, Hardwareinventur und Softwaremessung gesammelt wurden. Administratoren können Messungsregeln sowie Asset Intelligence-Kategorien, -Familien und -Bezeichnungen erstellen.
Softwareupdate-Manager: Mit dieser Sicherheitsrolle werden Berechtigungen zum Definieren und Bereitstellen von Softwareupdates gewährt. Administratoren, denen diese Rolle zugeordnet ist, können Sammlungen, Softwareupdategruppen, Bereitstellungen und Vorlagen erstellen und Softwareupdates für Netzwerkzugriffsschutz (NAP) aktivieren.
Tipp |
---|
Sie können die Liste der integrierten und benutzerdefinierten Sicherheitsrollen mit ihren Beschreibungen in der Configuration Manager-Konsole anzeigen. Erweitern Sie dazu im Arbeitsbereich Verwaltung den Knoten Sicherheit, und wählen Sie dann Sicherheitsrollen aus. |
Jeder Sicherheitsrolle sind bestimmte Berechtigungen für die verschiedenen Objekttypen zugeordnet. Zum Beispiel umfasst die Sicherheitsrolle Anwendungsadministrator die folgenden Berechtigungen für Anwendungen: Genehmigen, Erstellen, Löschen, Ändern, Ordner ändern, Objekte verschieben, Lesen/Bereitstellen, Sicherheitsbereiche festlegen. Sie können die Berechtigungen der integrierten Sicherheitsrollen nicht ändern. Es ist aber möglich, eine Rolle zu kopieren, zu ändern und die geänderte Rolle als neue benutzerdefinierte Sicherheitsrolle zu speichern. Sie können Sicherheitsrollen importieren, die Sie zuvor aus einer anderen Hierarchie (z. B. einem Testnetzwerk) exportiert haben. Überprüfen Sie die Sicherheitsrollen und deren Berechtigungen, um zu bestimmen, ob Sie die integrierten Sicherheitsrollen verwenden können oder eigene benutzerdefinierte Sicherheitsrollen erstellen müssen.
Gehen Sie wie folgt vor, um Sicherheitsrollen zu planen:
Identifizieren Sie die Tasks, die Administratoren in System Center 2012 Configuration Manager ausführen. Dabei kann es sich um Gruppen von Verwaltungstasks handeln, wie z. B. Bereitstellen von Anwendungen und Paketen, Bereitstellen von Betriebssystemen und Kompatibilitätseinstellungen, Konfigurieren von Standorten und Sicherheit, Überwachung, Remotesteuerung von Computern und Sammeln von Inventurdaten.
Ordnen Sie diese Verwaltungstasks mindestens einer der integrierten Sicherheitsrollen zu.
Wenn einige Administratoren die Tasks mehrerer Sicherheitsrollen ausführen, weisen Sie diesen Administratoren alle relevanten Sicherheitsrollen zu, statt eine neue Sicherheitsrolle zu erstellen, in der diese Tasks enthalten sind.
Wenn die identifizierten Tasks den integrierten Sicherheitsrollen nicht zugewiesen werden können, erstellen und testen Sie neue Sicherheitsrollen.
Informationen zum Erstellen und Konfigurieren von Sicherheitsrollen für die rollenbasierte Verwaltung finden Sie in den AbschnittenErstellen von benutzerdefinierten Sicherheitsrollen und Konfigurieren von Sicherheitsrollen im Thema Konfigurieren der Sicherheit für Configuration Manager.
Planen von Sammlungen
Mithilfe von Sammlungen werden die Benutzer- und Computerressourcen angegeben, die ein Administrator anzeigen oder verwalten kann. Damit Administratoren beispielsweise Anwendungen bereitstellen oder die Remotesteuerung ausführen können, müssen sie einer Sicherheitsrolle zugewiesen werden, mit der Zugriff auf eine Sammlung gewährt wird, die diese Ressourcen enthält. Sie können Sammlungen von Benutzern oder Geräten auswählen.
Weitere Informationen zu Sammlungen finden Sie unter Introduction to Collections in Configuration Manager (Einführung in die Sammlungen in Configuration Manager).
Überprüfen Sie vor dem Konfigurieren der rollenbasierten Verwaltung, ob folgende Gründe für das Erstellen neuer Sammlungen vorliegen:
Funktionsorganisation. Beispielsweise getrennte Sammlungen von Servern und Arbeitsstationen.
Geografische Ausrichtung. Beispielsweise getrennte Sammlungen für Nordamerika und Europa.
Sicherheitsanforderungen und Geschäftsprozesse. Beispielsweise getrennte Sammlungen für Produktions- und Testcomputer.
Organisationsausrichtung. Beispielsweise getrennte Sammlungen für jeden Geschäftsbereich.
Informationen zum Konfigurieren von Sammlungen für die rollenbasierte Verwaltung finden Sie im AbschnittKonfigurieren von Sammlungen zum Verwalten der Sicherheit im Thema Konfigurieren der Sicherheit für Configuration Manager.
Planen von Sicherheitsbereichen
Mithilfe von Sicherheitsbereichen können Sie Administratoren Zugriff auf sicherungsfähige Objekte gewähren. Bei Sicherheitsbereichen handelt es sich um benannte Sätze von sicherungsfähigen Objekten, die Administratoren als Gruppe zugewiesen werden. Alle sicherungsfähigen Objekte müssen mindestens einem Sicherheitsbereich zugewiesen werden.Configuration Manager verfügt über zwei integrierte Sicherheitsbereiche:
Alle: Über diesen integrierten Sicherheitsbereich wird Zugriff auf alle Bereiche gewährt. Diesem Sicherheitsbereich können keine Objekte zugewiesen werden.
Standard: Dieser integrierte Sicherheitsbereich wird standardmäßig für alle Objekte verwendet. Bei der Erstinstallation von System Center 2012 Configuration Manager werden alle Objekte diesem Sicherheitsbereich zugewiesen.
Wenn Sie die Objekte beschränken möchten, die von Administratoren angezeigt und verwaltet werden können, müssen Sie eigene benutzerdefinierte Sicherheitsbereiche erstellen und verwenden. Sicherheitsbereiche unterstützen keine hierarchische Struktur und können nicht geschachtelt werden. Sicherheitsbereiche können mehrere Objekttypen enthalten, darunter die folgenden:
Benachrichtigungsabonnements
Applications
Startabbilder
Begrenzungsgruppen
Konfigurationselemente
Benutzerdefinierte Clienteinstellungen
Verteilungspunkte und Verteilungspunktgruppen
Treiberpakete
Globale Bedingungen
Migrationsaufträge
Betriebssystemabbilder
Installationspakete für Betriebssysteme
Pakete
Abfragen
Standorte
Softwaremessungsregeln
Softwareupdategruppen
Softwareupdatepakete
Tasksequenzpakete
Windows CE-Geräteeinstellungselemente und -pakete
Einige Objekte können Sicherheitsbereichen nicht zugewiesen werden, da sie nur durch Sicherheitsrollen gesichert werden. Der Administratorzugriff auf diese Objekte kann nicht auf eine Teilmenge der verfügbaren Objekte beschränkt werden. Zum Beispiel erstellt ein Administrator Begrenzungsgruppen, die für einen bestimmten Standort verwendet werden. Da für das Grenzobjekt keine Sicherheitsbereiche unterstützt werden, ist es nicht möglich, diesem Benutzer einen Sicherheitsbereich zuzuweisen, der den Zugriff nur auf die diesem Standort zugeordneten Grenzen gewährt. Da Grenzobjekte Sicherheitsbereichen nicht zugeordnet werden können, erhält dieser Benutzer Zugriff auf alle Grenzen in der Hierarchie, wenn Sie ihm eine Sicherheitsrolle zuweisen, die ihm Zugriff auf Grenzobjekte gewährt.
Zu den Objekten, die nicht durch Sicherheitsbereiche eingeschränkt sind, zählen folgende:
Active Directory-Gesamtstrukturen
Administratoren
Warnungen
Richtlinien für Antischadsoftware
Standortgrenzen
Computerzuordnungen
Clientstandardeinstellungen
Bereitstellungsvorlagen
Gerätetreiber
Exchange Server-Connector
Zuordnungen der Migration zwischen Standorten
Anmeldungsprofile für mobile Geräte
Sicherheitsrollen
Sicherheitsbereiche
Standortadressen
Standortsystemrollen
Softwaretitel
Softwareupdates
Statusmeldungen
Affinitäten zwischen Benutzer und Gerät
Erstellen Sie Sicherheitsbereiche, wenn Sie den Zugriff auf separate Instanzen von Objekten beschränken müssen. Beispiel:
Eine Gruppe von Administratoren muss Produktionsanwendungen anzeigen können, jedoch keine Testanwendungen. Erstellen Sie einen Sicherheitsbereich für Produktionsanwendungen und eine weitere für die Testanwendungen.
Verschiedene Administratoren benötigen unterschiedliche Zugriffsberechtigungen für einige Instanzen eines Objekttyps. Zum Beispiel benötigt eine Administratorengruppe die Berechtigung Lesen für bestimmte Softwareupdategruppen, und eine andere Administratorengruppe benötigt die Berechtigungen Ändern und Löschen für andere Softwareupdategruppen. Erstellen Sie unterschiedliche Sicherheitsbereiche für diese Softwareupdategruppen.
Informationen zum Konfigurieren von Sicherheitsbereichen für die rollenbasierte Verwaltung finden Sie im AbschnittKonfigurieren von Sicherheitsbereichen für ein Objekt im Thema Konfigurieren der Sicherheit für Configuration Manager.